حملات UEFI می‌توانند فرآیند Secure Boot را در مادربردهای گیگابایت دور بزنند

ده‌ها مدل مادربرد گیگابایت از نرم‌افزار UEFI استفاده می‌کنند که در برابر مشکلات امنیتی آسیب‌پذیر است و این مشکلات می‌توانند باعث نصب بدافزارهای bootkit شوند که برای سیستم‌عامل نامرئی بوده و حتی پس از نصب مجدد سیستم عامل نیز می‌توانند باقی بمانند.

این آسیب‌پذیری‌ها می‌توانند به مهاجمان با دسترسی مدیر محلی یا از راه دور اجازه دهند کد دلخواه را در System Management Mode (SMM) اجرا کنند. این محیط از سیستم‌عامل جدا بوده و دارای مجوزهای بیشتری بر روی دستگاه است.

مکانیزم‌های اجرایی که کد را زیر سیستم‌عامل اجرا می‌کنند، به سخت‌افزار سطح پایین دسترسی دارند و در زمان راه‌اندازی سیستم آغاز به کار می‌کنند. به همین دلیل، بدافزارهایی که در این محیط‌ها اجرا می‌شوند، می‌توانند از دفاع‌های امنیتی سنتی سیستم عبور کنند.

UEFI یا Unified Extensible Firmware Interface، به دلیل ویژگی Secure Boot از امنیت بیشتری برخوردار است. این ویژگی از طریق تاییدات رمزنگاری شده اطمینان حاصل می‌کند که دستگاه در زمان راه‌اندازی، کدی امن و مورد اعتماد استفاده می‌کند.

به همین دلیل، بدافزارهای سطح UEFI مانند bootkit‌ها (مانند BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce, LoJax) می‌توانند کدهای مخرب را در هر بار راه‌اندازی سیستم اجرا کنند.

تعداد زیادی از مادربردها تحت تاثیر قرار گرفته‌اند
چهار آسیب‌پذیری موجود در پیاده‌سازی‌های فریم‌ور گیگابایت توسط محققان شرکت امنیت فریم‌ور Binarly کشف شده‌اند، که یافته‌های خود را با مرکز هماهنگی CERT دانشگاه کارنگی ملون (CERT/CC) به اشتراک گذاشته‌اند.

تامین‌کننده اصلی فریم‌ور American Megatrends Inc. (AMI) است که پس از افشای خصوصی این مشکلات، آن‌ها را رفع کرد، اما برخی از ساخت‌های فریم‌ور OEM (مانند فریم‌ور گیگابایت) این اصلاحات را در آن زمان اعمال نکردند.

در پیاده‌سازی‌های فریم‌ور گیگابایت، Binarly آسیب‌پذیری‌های زیر را با نمره شدت بالای ۸٫۲ پیدا کرده است:

• CVE-2025-7029: خطا در یک مدیر SMI (OverClockSmiHandler) که می‌تواند منجر به ارتقای امتیاز SMM شود.
• CVE-2025-7028: خطا در یک مدیر SMI (SmiFlash) که دسترسی خواندن/نوشتن به System Management RAM (SMRAM) می‌دهد و می‌تواند منجر به نصب بدافزار شود.
• CVE-2025-7027: می‌تواند منجر به ارتقای امتیاز SMM و تغییر فریم‌ور از طریق نوشتن محتوای دلخواه در SMRAM شود.
• CVE-2025-7026: اجازه می‌دهد تا نوشته‌های دلخواه به SMRAM انجام شود و می‌تواند منجر به ارتقای امتیاز به SMM و حمله پایدار به فریم‌ور شود.

بر اساس شمارش ما، بیش از ۲۴۰ مدل مادربرد تحت تاثیر قرار گرفته‌اند که شامل نسخه‌ها، واریانت‌ها و ویرایش‌های منطقه‌ای است که فریم‌ور آن‌ها بین اواخر ۲۰۲۳ تا نیمه اوت ۲۰۲۴ به‌روزرسانی شده‌اند. با این حال، BleepingComputer از Binarly درخواست شمارش رسمی کرده است و در صورت دریافت اطلاعات دقیق‌تر، مقاله را به‌روزرسانی خواهد کرد.

محققان Binarly در تاریخ ۱۵ آوریل مسائل را به CERT/CC دانشگاه کارنگی ملون اطلاع داده‌اند و گیگابایت در تاریخ ۱۲ ژوئن این آسیب‌پذیری‌ها را تایید کرده است. پس از آن، به‌روزرسانی‌های فریم‌ور منتشر شد، طبق گزارش‌های CERT/CC.

با این حال، تولیدکننده (OEM) هیچ‌گونه اطلاعیه امنیتی در مورد مشکلات امنیتی گزارش شده از طرف Binarly منتشر نکرده است. BleepingComputer ایمیلی به فروشنده سخت‌افزار ارسال کرده است تا نظر آن‌ها را جویا شود، اما هنوز منتظر پاسخ آن‌ها است.

در همین حال، بنیان‌گذار و مدیرعامل Binarly، الکس ماتروسوف به BleepingComputer گفت که به احتمال زیاد گیگابایت هنوز اصلاحات را منتشر نکرده است. با توجه به اینکه بسیاری از محصولات به پایان عمر خود رسیده‌اند، کاربران نباید انتظار دریافت به‌روزرسانی‌های امنیتی را داشته باشند.

“از آنجا که تمام این چهار آسیب‌پذیری‌ها از کد مرجع AMI نشأت گرفته‌اند، AMI این آسیب‌پذیری‌ها را مدتی پیش به‌صورت سکوتی به مشتریان پرداختی خود تنها تحت توافقنامه عدم افشا (NDA) اعلام کرده است و این باعث تأثیرات قابل توجهی در سال‌های اخیر بر روی فروشندگان پایین‌دست شد، زمانی که آن‌ها همچنان آسیب‌پذیر و بدون وصله باقی ماندند.” – الکس ماتروسوف

“به نظر می‌رسد که گیگابایت هنوز اصلاحات را منتشر نکرده است و بسیاری از دستگاه‌های تحت تأثیر به وضعیت پایان عمر خود رسیده‌اند، به این معنی که احتمالاً به‌طور نامحدود آسیب‌پذیر باقی خواهند ماند.”

در حالی که خطر برای مصرف‌کنندگان عادی به طور نسبی کم است، افرادی که در محیط‌های حساس کار می‌کنند می‌توانند ریسک خاص خود را با ابزار Risk Hunt از Binarly ارزیابی کنند که شامل تشخیص رایگان برای چهار آسیب‌پذیری مذکور است.

کامپیوترهای مختلف از تولیدکنندگان OEM که از مادربردهای گیگابایت استفاده می‌کنند ممکن است آسیب‌پذیر باشند، بنابراین از کاربران خواسته می‌شود که به‌روزرسانی‌های فریم‌ور را نظارت کرده و به سرعت آن‌ها را اعمال کنند.